Public WLAN Hotspot mit OpenBSD Firewall

Technischer Stand: Jahr 2003. Dieser Artikel wird nicht mehr aktualisiert.

Der Artikel beschreibt den Aufbau und die Absicherung eines öffentlichen WLAN Hotspots. Der Zugang zu diesem Hotspot ist unter http://www.barnim.net:8080 beschrieben.

Hardware

Der öffentliche Hotspot ist vollständig vom privaten WLAN getrennt und beansprucht einen eigenen Accesspoint (AP). Beide AP sind mit unterschiedlichen Schnittstellen an der Firewall verbunden.

Access Point

	privates WLAN	öffentlicher Hotspot
Netzname (SSID)	wird durch den AP unterdrückt	wird durch den AP bekanntgegeben
Verschlüsselung	128 Bit	keine
IP-Adreßsegment	192.168.2.0/24 und 192.168.4.0/24 (für das abgesetzte Segment hinter dem WLAN-Router)	192.168.3.0/24
dynamische IP-Adressen	keine	ausschließlich

"SSID Broadcast" sollte im AP des privaten WLAN abschaltbar sein.

Adreßvergabe und Firewall

Betreibt man einen freien Hotspot (also ohne Verkehrsmessung und Gebührenabrechnung), liegt die Herausforderung nur in der richtigen Konfiguration der Firewall. Im Artikel über die Firewall sind die nötigen Konfigurationen für DHCP und Paketfilter aufgeführt. Der Nutzer, der seiner WLAN-Karte die richtige Netzidentifikation (SSID) eintrichtert, erhält automatisch eine freie IP-Adresse (sofern er nicht auf der Schwarzen Liste steht) und ist schon "drin".

Proxy

Wer einen öffentlichen Hotspot betreibt, geht damit einige rechtliche und moralische Verpflichtungen ein und sollte von den Hotspot-Nutzern die Einhaltung einiger Regeln verlangen. Der erste Zugriff auf TCP-Port 80 für eine beliebige IP-Adresse (HTTP, sicher der Normalfall für einen ersten Zugriff) wird durch den Paketfilter "umgebogen" auf eine Seite mit der Beschreibung der Client-Konfiguration für den Hotspot (in unserem Fall http://www.barnim.net:8080). Durch die Benutzung des Proxies wird quasi das Einverständnis mit den Nutzungsbedingungen erklärt.

Der Proxy führt als nützlichen Nebeneffekt einen Cache, der überflüssige Zugriffe auf das Internet einsparen kann.